Betreiber kritischer Infrastrukturen haben noch circa 11 Monate Zeit, die NIS-2-Richtlinie umzusetzen. Das soll unter anderem durch Zugriffs-Management, mehrstufige Authentifizierung und Monitoring-Tools gelingen. Doch worauf kommt es bei der Umsetzung im verbleibenden Jahr konkret an?
Welche Rolle Identity and Access Management (IAM) für die NIS2-Konformität spielt, darüber sprachen wir mit Ingo Buck, Geschäftsführer Imprivata OGiTiX GmbH.
Viele Unternehmen und Organisationen müssen bis zum 18. Oktober 2024 über die entsprechenden Prozesse, Richtlinien und Technologien verfügen, um sicherzustellen, dass sie NIS2-konform sind. Warum?
Ingo Buck: Die Nutzung und Abhängigkeit von IT-Systemen in allen Bereichen der Gesellschaft, der Wirtschaft und des Privatlebens hat im letzten Jahrzehnt rasant zugenommen. Die EU und viele nationale Regierungen haben diese Komplexität erkannt, auch weil häufig organisatorische und nationale Grenzen überschritten werden. Die von IT-Systemen erbrachten Dienste bilden die Grundlage für das Funktionieren der heutigen Gesellschaft. Ihre Sicherheit und Zuverlässigkeit müssen unbedingt geschützt werden.
Welche Unternehmen sind von NIS2 betroffen?
Ingo Buck: Die Betreiber wichtiger Dienste in den EU-Mitgliedstaaten, die in kritischen Sektoren wie Gesundheitswesen, Energieversorgung, Verkehr, Bankwesen und digitale Infrastruktur tätig sind, müssen strenge Anforderungen an die Cybersicherheit und die Meldung von Vorfällen erfüllen. Viele Organisationen sind nun verpflichtet, Verfahren für das Risikomanagement im Bereich der Cybersicherheit einzuführen. Die neuen Cybersicherheitsverpflichtungen für „wesentliche” und „wichtige” Organisationen, je nach Größe und Branche, umfassen das Risiko- und Lieferkettenmanagement, die Meldung von Cybervorfällen und den Informationsaustausch.
Wie können Unternehmen sich auf NIS2 vorbereiten?
Ingo Buck: Unternehmen müssen ihren Fokus auf Cybersicherheit verstärken und erweitern, indem sie neue Prozesse und Lösungen einführen, um diesen Anforderungen gerecht zu werden. NIS2 fordert Unternehmen auf, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit von Netzwerken, Informationssystemen, Lieferketten und Geschäftsbeziehungen zu gewährleisten und diese regelmäßig zu evaluieren und zu verbessern. Zu diesem Zweck empfiehlt NIS2 folgende Lösungen und Strategien, die von den Unternehmen umgesetzt werden sollten: Verschlüsselung, Zugangskontrollmanagement, Netzwerksegmentierung, Multi-Faktor-Authentifizierung und kontinuierliche Überwachung.
Worauf müssen Unternehmen bei der Umsetzung von NIS2-Maßnahmen achten?
Ingo Buck: Bei der praktischen Umsetzung ist es für Unternehmen wichtig, darauf zu achten, dass die Sicherheit nicht auf Kosten der Effizienz geht. Es ist nicht ungewöhnlich, dass zusätzliche Sicherheitsmaßnahmen den täglichen Betrieb aufgrund erhöhter Sicherheitsanforderungen, z. B. im Bereich Authentifizierung, verlangsamen. Die Maßnahmen, die Organisationen im Rahmen von NIS2 ergreifen, sollten idealerweise ein Gleichgewicht zwischen Sicherheit und Effizienz herstellen.
Was kann Identity & Access Management (IAM) dazu beitragen, das von NIS2 geforderte Sicherheitsniveau zu erreichen?
Ingo Buck: IAM-Lösungen decken eine Reihe von Maßnahmen ab, die von NIS2 gefordert werden:
Für die Sicherheit von Lieferketten spielen sie eine wichtige Rolle, indem sie den Zugriff Dritter auf sensible Daten und Infrastrukturen kontrollieren. Sie stellen sicher, dass der Zugang nur dann gewährt wird, wenn er erforderlich ist, und dass er entzogen wird, wenn er nicht mehr benötigt wird. Darüber hinaus ermöglichen sie die geforderte Protokollierung und Überwachung von Zugriffen und Aktivitäten.
Auch im Hinblick auf die von NIS2 geforderte Gewährleistung von Cyber-Sicherheitshygiene bieten IAM-Lösungen eine Reihe von Schutzmaßnahmen. Dazu gehört die Implementierung einer robusten Passwortrichtlinie, die durch Single Sign-On (SSO) auf allen Geräten unterstützt wird. Darüber hinaus ermöglichen sie den Einsatz von Security Badges mit Tap-and-PIN für die Zwei-Faktor-Authentifizierung, wodurch die Verwendung gemeinsam genutzter Konten für den Zugriff auf Systeme und Daten überflüssig wird.
Können Sie weitere Beispiele geben, warum IAM bei der Umsetzung von NIS2 so entscheidend sind?
Ingo Buck: Wichtige Maßnahmen, die es nach NIS2 umzusetzen gilt, ist die Personalsicherheit, die Zugriffskontrolle sowie das Asset Management. Hier bieten IAM-Lösungen die Möglichkeit, automatisiertes Provisioning zu implementieren, um eine präzise, rollenbasierte Zugriffskontrolle (RBAC) zu gewährleisten. Dies gilt sowohl für neue Nutzerinnen und Nutzer als auch für Rollenwechsel und Zugriffe von Dritten sowie für das Ausscheiden von Mitarbeitenden aus dem Unternehmen. Damit wird das Risiko einer schleichenden Ausweitung von Zugriffsrechten minimiert und sichergestellt, dass Berechtigungen rechtzeitig entzogen werden. Dies trägt auch zur Einführung eines Privileged Access Managements bei, um Administratorzugänge weniger anfällig für Missbrauch zu machen und eine strengere Verwaltung mobiler Geräte zu gewährleisten.
Die von NIS2 geforderte Implementierung von Multi-Faktor-Authentifizierung (MFA) ist ein wichtiges Merkmal von IAM-Lösungen, die auf sicheren Tap-and-PIN-Badges basieren. Dadurch wird eine konsistente MFA einschließlich moderner Authentifizierungsstandards wie FIDO (Fast IDentity Online) auf Desktops und mobilen Geräten ermöglicht. Gerade im Hinblick auf die wachsende Zahl vernetzter Geräte, einschließlich medizinischer Geräte, die geschützt werden müssen, ist dies besonders wichtig.
Inwiefern können IAM-Lösungen für Unternehmen Kosten sparen?
Ingo Buck: Durch die Implementierung einer IAM-Strategie verfügen Unternehmen über die richtigen Lösungen, um ihre Systeme zu sichern, gesetzliche und behördliche Anforderungen zu erfüllen, die erforderliche Dokumentation und Protokollierung bereitzustellen – aber auch, um ihre Produktivität zu steigern.
Mitarbeitende können schnell und einfach auf die benötigten Ressourcen zugreifen und erfüllen gleichzeitig die NIS2-Anforderungen. Dies ist besonders wichtig in einer geschäftigen Arbeitsumgebung, in der zusätzliche Sicherheitsmaßnahmen Mitarbeitende häufig verlangsamen und zu weniger sicheren Workarounds führen können. IAM-Lösungen helfen Unternehmen, die NIS2-Anforderungen zu erfüllen, ohne die betriebliche Effizienz zu beeinträchtigen. Bereits dies spart Kosten.
Darüber hinaus kann es teuer werden, wenn die in NIS2 beschriebenen Maßnahmen nicht umgesetzt werden. Betreiber „wesentlicher“ Einrichtungen, die die Anforderungen von NIS2 nicht umsetzen, müssen mit einer Höchststrafe von entweder 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes rechnen, bei Betreibern „wichtiger“ Einrichtungen sind es maximal 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes – ganz zu schweigen von Reputationsschäden und der persönlichen Verantwortung von Führungskräften, die für Compliance-Verstöße haftbar gemacht werden können.
Wie würden Sie die Rolle von IAM bei der Umsetzung von NIS2 zusammenfassen?
Ingo Buck: Obwohl IAM nur ein Element einer umfassenderen Cyber-Sicherheitsstrategie ist, ist es eine Schlüsselkomponente des koordinierten und ganzheitlichen Ansatzes, den alle Organisationen bei der Umsetzung der NIS2-Protokolle verfolgen müssen. Da Cyber-Angriffe immer raffinierter werden, bietet die NIS2-Richtlinie Unternehmen eine Möglichkeit, sich in der zunehmend komplexen Bedrohungslandschaft zurechtzufinden, und IAM-Lösungen spielen dabei eine wichtige Rolle.
Herr Buck, wir danken für das Gespräch.